ГОСТы и сертификаты в информационной безопасности: зачем они нужны, обучение

KEDU
Автор статьи

Содержание

Дата публикации 19.07.2024 Обновлено 06.08.2024
ГОСТы и сертификаты в информационной безопасности: зачем они нужны, обучение
Источник фото DC Studio/freepik

Чтобы эффективнее выполнять свою работу, специалистам по информационной безопасности нужно знать определенные нормы ГОСТ и придерживаться их. При этом есть и международные стандарты защиты данных с соответствующей сертификацией — её не так уж просто получить. Однако она будет чрезвычайно полезна при трудоустройстве.

Зачем нужны ГОСТы в области информационной безопасности

В общем смысле ГОСТ — это сборник стандартов, который нужен, чтобы отслеживать количественные и качественные показатели производимой продукции. Кроме того, он включает регламенты, в которых прописано, как в дальнейшем её следует использовать и где применять. Также в ГОСТе содержатся правила проведения тех или иных работ. И подобным образом государство может отслеживать и оценивать, насколько эффективно работает производство в стране.

Что касается информационной безопасности, то здесь ГОСТы нужны опять-таки для регламентирования процесса. Кроме того, с их помощью можно унифицировать обучение специалистов и стандартизировать мероприятия по защите информации.

Действующие ГОСТы по информационной безопасности

С действующими стандартами в сфере ИБ можно ознакомиться на официальном сайте Федерального агентства по техническому регулированию и метрологии. В общей сложности их насчитывается 89. Все они определяют требования к защите информации в вычислительных системах и сетях, методы управления информационной безопасностью, оценки безопасности информационных систем и программных средств, терминологию и многое другое.

Основными же, с которыми регулярно сталкиваются сотрудники ИБ в своей работе, являются:

  1. ГОСТ Р 50922-96 — "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Термины и определения".
  2. ГОСТ Р ИСО/МЭК 27001 — Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования. Прямое применение международного стандарта — ISO/IEC/IBS21 27001:2005.
  3. ГОСТ Р ИСО/МЭК 15408-1-2012 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
  4. ГОСТ Р ИСО/МЭК 15408-2-2013 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
  5. ГОСТ Р ИСО/МЭК 15408-3-2013 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

Международные сертификаты в области информационной безопасности

Помимо ГОСТов существуют ещё и международные сертификаты, которые как раз-таки касаются в основном обучения специалистов по ИБ. Их разрабатывают либо международные органы стандартизации, такие как IEC (МЭК, Международная электротехническая комиссия), либо частные компании-поставщики решений в сфере защиты данных.

Зачем специалисту ИБ международная сертификация

Тут все довольно просто: для любого IT-специалиста — это следующая ступень в карьере и +100 к привлекательности на рынке труда.

К тому же есть определенные позиции, на которые попросту не попасть, не имея международного сертификата. Допустим, менеджмент в области ИБ, или аудит, однозначно потребуют подтверждения, что специалист знаком с лучшими международными практиками и умеет их применять в работе. Без этого к управлению проектами его попросту не допустят.

Существует несколько уровней и специализаций, и вот наиболее востребованные из них:

1. Для Junior специалистов по ИБ

  • CompTIA Security+: Хороший старт для новичков. Охватывает основные концепции ИБ, включая сети, управление рисками и криптографию.
  • Certified Ethical Hacker (CEH): Подходит для тех, кто хочет начать карьеру в тестировании на проникновение и этическом взломе.

2. Для Middle и менеджмента

  • CISM (Certified Information Security Manager). Идеален для специалистов, стремящихся к ролям в управлении информационной безопасностью.
  • CISA (Certified Information Systems Auditor). Полезен для тех, кто хочет специализироваться на аудите и контроле ИБ.
  • ISO/IEC 27001 Lead Implementer. Стандарт Международной электротехнической комиссии, разработанный специально для экспертов, занимающихся внедрением системы управления информационной безопасностью.

3. Для Senior специалистов по ИБ

  • CISSP (Certified Information Systems Security Professional). Широко признан и охватывает множество аспектов ИБ. Рекомендуется для профессионалов с опытом и стремящихся к стратегическим и управленческим позициям.
  • GIAC (Global Information Assurance Certification). Предлагает разнообразные специализации, включая управление рисками, безопасность сетей и криминалистику.

4. Специалисты по тестированию на проникновение

  • OSCP (Offensive Security Certified Professional). Очень уважаемый сертификат в области пентеста. Требует прохождения практического экзамена.

Выбор сертификации в зависимости от целей, кратко

  1. Управление и стратегии ИБ: CISM, CISSP
  2. Аудит и соответствие стандартам: CISA, ISO/IEC 27001 Lead Auditor
  3. Этический взлом и тестирование на проникновение: CEH, OSCP
  4. Общие знания и начальный уровень: CompTIA Security+, ISO/IEC 27001 Lead Implementer

Онлайн-школы и курсы с международными сертификатами информационной безопасности

1. CISSP

  • Coursera. "CISSP Certification" — Курс от (ISC)², организации-разработчика данного стандарта;
  • Udemy. "CISSP Certification Preparation Course" — Популярный курс с подготовительными материалами и практическими тестами.

2. CISM

  • LinkedIn Learning. "CISM Cert Prep" — Подготовительный курс, охватывающий все домены CISM;
  • Cybrary. "CISM Training Course" — Бесплатный курс с видеоуроками и практическими заданиями.

3. CEH

  • Udemy. "The Complete Ethical Hacking Course: Beginner to Advanced!" — Всеобъемлющий курс по этическому взлому;
  • Pluralsight. "CEH: Certified Ethical Hacker (v10)" — Подготовительный курс с лабораторными работами и практическими заданиями.

4. CompTIA Security+

  • CompTIA Official. "CompTIA Security+ (SY0-601) Cert Prep" на сайте CompTIA — Официальный подготовительный курс компании-разработчика;
  • Udemy. "CompTIA Security+ (SY0-601) Complete Course & Practice Exam" - Популярный курс с практическими тестами.

5. CISA

  • Udemy. "Certified Information Systems Auditor (CISA)" — Полный курс подготовки к экзамену CISA;
  • Cybrary. "CISA Training Course" — Бесплатный курс с видеоуроками и практическими заданиями.

6. ISO/IEC 27001 Lead Auditor

  • PECB "ISO/IEC 27001 Lead Auditor" — Официальный курс подготовки к сертификации;
  • Simplilearn "ISO 27001 Lead Auditor" — Подготовительный курс с учебными материалами и экзаменационными тестами.

7. OSCP

  • Offensive Security: "PWK (Penetration Testing with Kali Linux)" — Официальный курс подготовки к OSCP, включающий лаборатории и практические задания.

8. GIAC (Global Information Assurance Certification)

  • SANS Institute: Различные курсы подготовки к сертификациям GIAC, включая GSEC, GCIH и другие. SANS Institute предлагает интенсивные тренинги с лабораторными работами.

Есть ли российские сертификаты по информационной безопасности?

В РФ на настоящий момент сложилась парадоксальная ситуация: государство всячески стремятся уйти от зарубежных решений в IT, но практически во всех компаниях по-прежнему котируются международные сертификаты.

В частности, по оценкам Securitylab.ru, требования к сертификации CISSP, ISACA CISA и ISACA CISM встречаются в конкурсной документации на разработку IT-решений, а порядка 10% вакансий по теме ИБ включают обязательное наличие такого сертификата.

Пока что каких-то общероссийских стандартов сертификации не выработано, однако, Минцифры уже выступило с инициативой разработать отечественные аналоги зарубежных сертификатов. Это поможет и упростить обучение, и удешевить его на несколько порядков, и одновременно даст стимул тем IT-компаниям, которые исключались из тендеров, если их сотрудники не проходили международную сертификацию.

В данный момент лишь немногие IT-школы в РФ разработали и обучают по своей сертификации.


Вопрос — ответ
Что такое стандарты информационной безопасности?

Для чего нужны сертификаты по информационной безопасности

Где можно получить сертификат в области информационной безопасности?
Комментарии
Всего
6
2024-08-06T16:31:00+05:00
имхо, сертификация в IT вообще ничего не дает. На рынке полно сертифицированных специалистов, которые нихрена не умеют. Если у нас появится своя сертификация, то она нужна скорее всего будет высшему менеджменту и государству, чтоб нужные люди выигрывали торги. Вот их и будут сертифицировать
2024-07-26T16:31:00+05:00
Вообще эти международные сертификаты чисто тем, кому надо на оффер за рубеж получить. Дома они ни к чему
2024-07-30T16:31:00+05:00
нихрена подобного! Хочет контора поучаствовать в тендере? Будьте добры CISA или CISSP иметь, остальных - за забор
2024-08-02T16:31:00+05:00
вообще странная ситуация, вроде импортозамещение везде, а такая фигня продолжается. Бред!
2024-07-19T16:30:55+05:00
Ну и что по итогу? сертификацию-то как пройти? Это в штаты или европу надо ехать, получается?
2024-07-23T16:31:00+05:00
Вас дальше своего болота не пустят. сидите у себя за поребриком
Читайте также
Все статьи